【グローバル】サイバー脅威と政策に関する重要ニュース

こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバーセキュリティ脅威・政策に関して重要なニュースを抜粋してお届けします。

■CISA、Ivantiゼロデイ脆弱性パッチを促す緊急指針（ED）を発表（1/22）

CISA Emergency Directive Orders Action on Ivanti Zero-Days

‐CISA(米サイバーセキュリティ・社会基盤安全保障庁)は、中国のハッカーグループが昨年12月初めから悪用しているIvanti製品関連のゼロデイ脆弱性2件（CVE-2023-46805、CVE-2024-21887）に対する緊急指針（ED、Emergency Directive）24- 01を発表しました。

‐その脆弱性を悪用すると、ハッカーは認証なくシステム上で任意のコマンドを実行できる可能性があります。

‐Ivantiは今週から該当する脆弱性に対するパッチを配布する予定であり、CISAは米連邦政府および民間企業にそのパッチを直ちにダウンロードして適用するよう要請しました。

InfoSec Magazine

■仏規制当局、Amazonの過度な従業員監視に32億ユーロの罰金（1/24）

French regulators levy €32 million fine against Amazon for surveilling employees

‐フランスのCNIL（個人情報監督機関）は、Amazonが従業員を過度に監視し、関連データを適時に削除しなかったことに対してGDPR違反で32億ユーロ（約51億2,000万円）の罰金を課しました。

‐Amazonのフランスロジスティクスセンターは、従業員が商品の処理と出荷に使用するスキャナを追跡し、タスクの実行速度と休憩時間を秒単位で文書化しています。

‐Amazonは、倉庫管理システムは業界標準であり、運用の安定性や品質保証などのために必要だと主張しましたが、CNILは監視の規模と強度が過剰であり、これを通じて経済的利益を得たと指摘しました。

The Record

■英NCSC、今後2年以内にAIでランサムウェア脅威増幅の見通し（1/24）

AI Set to Supercharge Ransomware Threat, Says NCSC

‐英国サイバーセキュリティセンター（NCSC）は、AIの悪用により、今後2年以内にサイバー攻撃の規模と影響が増幅し、特にランサムウェア攻撃が増加すると警告しました。

‐NCSCは既にダークウェブなどでAI(GenAI)-as-a-Service製品をハッカーが活用しており、初心者のハッカーでもスピアフィッシングなど低レベルの攻撃を広範囲に渡って実施できる状態と報告しました。

InfoSec Magazine

■米上院議員、NSAがブローカーから米国民の個人データ購入行為は違法と主張(1/26)

NSA purchase of Americans’ personal data from brokers is illegal, senator says

‐ロン・ワイデン（Ron Wyden）米民主党上院議員は、国家安全保障局（NSA）がブローカーからアメリカ人のウェブブラウジングデータを購入することは、連邦取引委員会（FTC）の判決により違法だと主張しました。

‐ポール・ナカソネ（Paul Nakasone）NSA局長は、外国人の諜報、サイバーセキュリティおよび承認された任務のためにブローカーからさまざまな種類のデータを購入していると述べました。

The Record

最後までお読みいただきありがとうございました🙇‍♀️